Пока одни надевают два свитера на случай квантовой зимы, другие уверяют, что достаточно футболки — лишь бы правильно застегнуть пуговицы. В криптомире это называется «гибридное шифрование» против «чисто постквантового», и именно тут Дэниел Дж. Бернштейн (DJB) бьёт в колокол.
Суть его тревоги проста и громка: по словам DJB, NSA и её британский сосед GCHQ стремятся вытолкать из стандартов гибридные схемы, где проверенная временем эллиптическая криптография (ECC) идёт в паре с постквантовой (PQ). Почему это важно? Потому что гибрид — это страховка на случай, если новая блестящая PQ-модель внезапно треснет. А трещины, увы, бывали: с 2016-го не раз публиковались результаты, где перспективные PQ-предложения теряли ореол неуязвимости.
Дальше — интереснее. DJB указывает на регуляторную гравитацию: военные закупки в США требуют «NSA-одобрения» компонентов, а представители агентства уже писали, что гибрид они «не планируют поддерживать» в национальных системах безопасности. Коммерция чутка к ветру: если крупный заказчик берёт «не-гибрид», вендор адаптируется — об этом прямо говорит сотрудник Cisco. Сценарий, который рисует DJB, почти театральный: публично рынок тянут к одиночному шифрованию, а критичные данные всё равно прикрывают вторым, независимым слоем — только тихо и отдельно.
Острая сцена — в IETF TLS WG. Черновик с «не-гибридом» для TLS собрал двадцать «за» (ещё два — условно) и семь чётких «против», среди которых и голос DJB. Формально IETF тянется к «широкому консенсусу», но Бернштейн считает, что при таком раскладе говорить о «общем согласии» преждевременно и подаёт официальную жалобу. В другом посте он разбирает процедуру принятия решений — мол, ещё хуже, когда возражения и задать-то негде.
Что делать нам, смертным? Разумная позиция звучит не героически, зато практично: тестируйте PQ, пилотируйте гибриды, держите оборону в глубину и не жгите мосты с ECC, пока стандарты и реальность не пожмут друг другу руки. В криптографии парашютов много не бывает.